AUR 供应链攻击波及 400+ 包
推荐指数 63.0 NO. 027 · 2026.06.13
发布2026/06/12
为什么值得看
Arch Linux 用户仓库(AUR)遭大规模投毒,攻击者利用废弃账户上传含恶意代码的软件包。AI 工程师若开发环境基于 Arch/Manjaro 且依赖 AUR 工具链,需立即审计构建脚本。
媒体预览
编辑判断
AUR 作为社区驱动的仓库没有官方签名审计机制,这次攻击暴露的是"账户复活"漏洞——攻击者批量收购或暴力破解长期不活跃的上传者账户,绕过新账户审核。这和 npm、PyPI 的供应链攻击手法一致,但 AUR 的 PKGBUILD 脚本本身就是可执行代码,风险更高。
如果你用 Arch 做 ML 开发机,建议立刻检查 ~/.cache/yay/ 或 paru 缓存目录中是否有近期更新的 AUR 包,尤其是带 -git 后缀的滚动构建包。更稳妥的做法是把核心依赖迁移到官方仓库或容器化构建,AUR 只用于边缘工具。